Сегодня 03 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Лабораторные атаки показали уязвимости в менеджерах паролей LastPass, Bitwarden и Dashlane — ими пользуются 60 млн человек

Облачные менеджеры паролей традиционно обещают пользователям полную безопасность данных за счёт механизма «шифрования с нулевым разглашением». Но, как выяснили исследователи Швейцарской высшей технической школы Цюриха (ETH Zurich), этой модели не соответствуют даже такие уважаемые сервисы как Bitwarden, LastPass и Dashlane.

 Источник изображения: Jakub Żerdzicki / unsplash.com

Источник изображения: Jakub Żerdzicki / unsplash.com

Три указанных сервиса управляют учётными данными примерно 60 млн пользователей, и это значительная доля рынка. Чтобы проверить надёжность этих сервисов, исследователи обратились к «модели угроз со стороны вредоносных серверов» — они смоделировали работу серверов, способных вести себя аномально при взаимодействии с клиентами, например, при входе в систему или синхронизации данных. В результате они провели 12 успешных атак на Bitwarden, семь на LastPass и шесть на Dashlane. Во многих случаях эксперты получили полный доступ к паролям и данным учётных записей, продемонстрировав, как злоумышленники могут манипулировать обычными действиями пользователей для взлома хранилищ.

Уязвимости оказались серьёзнее, чем ожидалось, отметили исследователи. Аналогичные проблемы фиксировались в других облачных приложениях, но эксперты исходили из того, что менеджеры паролей разрабатывались как более надёжные средства защиты. Основной проблемой оказалось чрезмерно большое влияние серверов на процесс расшифровки — сказывается противоречие между безопасностью и удобством для пользователей. Для удобства пользователей им предлагают такие функции как восстановление учётной записи и семейный доступ. Но из-за этих удобств система усложняется, а поверхность атаки расширяется.

 Источник изображения: Towfiqu / unsplash.com

Источник изображения: Towfiqu / unsplash.com

Швейцарские учёные дали компаниям, в сервисах которых обнаружили уязвимости, 90 дней на их устранение, прежде чем публично раскрыть результаты исследования. Большинство поставщиков отреагировали конструктивно, а некоторые решали свои проблемы недостаточно быстро. Операторы сервисов неохотно пересматривают системы шифрования из-за опасений, что пользователи могут потерять доступ к хранящимся данным — это особенно актуально для корпоративных клиентов, которые управляют данными сотрудников в разных организациях. Из-за этого многие поставщики продолжают использовать средства шифрования, разработанные ещё в девяностые годы и считающиеся устаревшими в академических кругах.

Чтобы устранить выявленные проблемы, учёные предлагают гибридную модель перехода: переводить новых клиентов на обновлённые архитектуры, а существующим пользователям дать возможность добровольно перейти на системы нового образца, полностью осознавая риски. Актуальные системы, считают исследователи, должны по умолчанию работать с использованием современного сквозного шифрования и проходить проверки с участием сторонних организаций. Несмотря на уязвимости, эксперты продолжают считать менеджеры паролей ценными средствами для управления сотнями учётных данных, что актуально для большинства пользователей. Предпочтение они рекомендовали отдавать сервисам, операторы которых открыто заявляют об ограничениях в области безопасности и регулярно проходят независимую проверку. Важно не дискредитировать какие-то технологии, а обеспечить всей отрасли прозрачность и надёжные принципы проектирования, заключили учёные.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Вопрос передачи доли в Anthropic властям США пока не обсуждался 2 ч.
Microsoft разрабатывала ИИ ОС, отличную от Windows — с глубокой интеграцией Copilot и агентов 7 ч.
Epic Games Store устроил раздачу классической игры I Have No Mouth, and I Must Scream о последних людях на Земле, которых пытает безумный суперкомпьютер 10 ч.
Авторитетный инсайдер опроверг закрытие Obsidian Entertainment и работу студии над новой Fallout 11 ч.
Правительство США снова взломали: хакеры проникли в федеральную платформу для обмена разведданными 11 ч.
«Не можешь — научим, не хочешь — заставим»: Microsoft мобилизует 6000 сотрудников для помощи клиентам во внедрении ИИ 12 ч.
Браузер Opera получил продвинутую защиту от ввода вредоносных команд через буфер обмена 12 ч.
ИИ оказался слишком дорогим: компании урезают сотрудникам доступ к ChatGPT и Claude 12 ч.
Студия создателя Deus Ex и System Shock перестанет делать игры — после провала Thick as Thieves в OtherSide осталось меньше десяти человек 13 ч.
Google не смогла отбиться от рекордного штрафа в €4,1 млрд в Европе 13 ч.
Новая статья: Снято в Голливуде? Почему Стэнли Кубрик физически не смог бы подделать лунную походку 5 ч.
В Сингапуре обвинили четыре фирмы в контрабанде подсанкционных чипов NVIDIA в Китай 5 ч.
Новая статья: Обзор Midea VCR V15 EVO ULTRA: я просто хорошо убираю любое помещение 6 ч.
Новый кроссовер R2 вдохнул жизнь в Rivian: продажи превзошли ожидания, прогноз повышен 7 ч.
Philips анонсировала 27-дюймовые игровые мониторы Evnia M4 с тремя режимами работы: 1440p@275 Гц, 1080p@360 Гц и 720p@540 Гц 9 ч.
Anthropic ведёт переговоры с Samsung о создании собственного ИИ-чипа 11 ч.
У Tesla внезапно подскочили продажи электромобилей во втором квартале 12 ч.
Amazon запустила достаточно спутников для запуска конкурента Starlink 13 ч.
ИИ подрывает экологические цели: выбросы углекислого газа у Amazon подскочили на 16 % в 2025 году 13 ч.
«Яндекс» разрабатывает новые ИИ-устройства — «Пин», «Хронум» и другие загадочные продукты 13 ч.